Hallo,
ich habe vom 1621 ohne Probleme eine PSK Verbindung hinbekommen
(aes, Mainmode).
OpenSwan Server hat schon mehrere funktionierende VPNs mit X509 Certifikaten (CiscoConcentrator, CiscoRouter 2610, Netgar VPN Client, OpenSwan andere Version).
Die 1621 PSK Verbindung habe ich von den Parametern her quasi kopiert. CA Cert und Cert und Priv.Key per Web Interface in den Lancom befördert.
OpnenSwan Verbindung quasi auch kopiert und unter /etc/ipsec.secrets den PSK wieder entfernt, so das das Cert. wirksam wird.
Im Lancom die Certs funktionieren an sich wohl auch. NTP und DNS sind konfiguriert und funktionieren. Stellt man die Zeit unterhalb oder oberhalb des Certificats gibts entsprechende Fehler. Folglich wird es mit der richtigen Zeit funktionieren.
Hat jemand eine funktionierende X509 Verbindung und kann die /etc/ipsec.conf /etc/ipsec.secrets und den Teil aus dem Lancom show vpn long oder so mal hier posten ?
Ich bin jetzt ca. 10 Tage neben meinen anderen Admin Tätigkeiten dabei - das beste war auf der OpenSwan Seite bis STATE I4. Aber in den Quick State ging es nicht mehr.
Ich hatte auch schon ein wenig mit den Timern probiert aber vielleicht folgt aus einer Änderung dann doch eine andere Konsequenz?
Firewall ist auf dem Lancom und dem OpenSwan auch schon aus. Hilft aber auch nicht. Andere Firewalls sind nicht dazwischen. Dann würde das auch nicht mehr bis STATE I4 kommen.
Die Identitis auf beiden Seiten. Das habe ich auch auf Übereinstimmung.
Meine Vermutung liegt bei den Timern und das man evt. auf dem Lancom
eigene Proposals definieren muß und die dann mit der OpenSwan Seite abgleichen muß. Aber welche Werte?
javascript:emoticon(':roll:')
Rolling Eyes
Herzlichen Dank schon einmal.
PS: Lancom Firmware ist die neueste vom 26.06.2006 6.12.0013
Lancom 1621 / R800+ zu OpenSwan 2.4 mit X509 Certifikaten
Moderator: Lancom-Systems Moderatoren
Im Testaufbau funktioniert es nun. Also falls jemand Zertifikate mit Lancom 1621 / Lan R800+ und OpenSwan benutzen will das funktioniert grundsätzlich
(Encrypt: AES-128, Hash: SHA, MODP1024 (2), Life-Duration=86400, ASN1 Distinguished Name=aus dem "show vpn cert" kopiert und wieder eingefügt, 2 feste IP´s, Kopplung von 2 verschiedenen Netzten)
Es gibt nur noch ein Problem mit der Zeit. Manchmal dauert es nach dem Einschalten solange, bis ADSL synchronisiert, das der JOB die Zeit per NTP zu holen trotz 25 Retrys nicht mehr greift und die Zeit somit auf 1900 steht. Damit sind die Zertifikate natürlich nicht mehr gültig.
Hat jemand dafür eine Lösung ?
Evt. einen cron zusätzlich ?
Besser wäre natürlich, die Firmware macht den NTP erst, wenn die IP von ADSL angekommen ist.
(Encrypt: AES-128, Hash: SHA, MODP1024 (2), Life-Duration=86400, ASN1 Distinguished Name=aus dem "show vpn cert" kopiert und wieder eingefügt, 2 feste IP´s, Kopplung von 2 verschiedenen Netzten)
Es gibt nur noch ein Problem mit der Zeit. Manchmal dauert es nach dem Einschalten solange, bis ADSL synchronisiert, das der JOB die Zeit per NTP zu holen trotz 25 Retrys nicht mehr greift und die Zeit somit auf 1900 steht. Damit sind die Zertifikate natürlich nicht mehr gültig.
Hat jemand dafür eine Lösung ?
Evt. einen cron zusätzlich ?
Besser wäre natürlich, die Firmware macht den NTP erst, wenn die IP von ADSL angekommen ist.